Datenschutzrecht

Das Rechtsgebiet des Datenschutzes hat sich im Jahre 2018 umfassend erneuert und spezifiziert. Durch das In-Kraft-treten der Datenschutz-Grundverordnung (DSGVO) und der Neufassung des Bundesdatenschutzgesetzes (BDSG n.F.) sind neue Regelungen und neue Handlungsspielräume entstanden. Grundsätzlich ist der Datenschutz bestrebt die personenbezogenen Daten von natürlichen Personen zu schützen, welche durch die Verarbeitung durch Unternehmen oder anderen geschäftliche handelnden Personen erhoben und gespeichert werden. Dadurch können die Persönlichkeitsrechte der Betroffenen stark eingeschränkt werden.

Der Schutz der persönlichen Daten als höchste Priorität

Die DSGVO hat Grundsätze für die Verarbeitung von Daten formuliert, welche ein Datenschutzkonformes Handeln anleiten sollen. Zunächst besteht die Pflicht eines jeden „Verarbeiters“ eine Einwilligung der Person einzuholen sobald personenbezogene Daten erhoben werden. Ein personenbezogenes Datum stellt jede Information da, die eine eindeutige direkte oder indirekte Identifizierung der Person ermöglicht (Ernst in Paal/Pauly, DSGVO und BDSG, Art. 4, Rn.3; 2. Auflage 2018.). Darunter fallen insbesondere Daten wie Name, Telefonnummer, Abbildungen der Person, Kfz-Kennzeichen, Kennnummern oder Standortdaten. Eine Speicherung und Verwendung solcher Daten darf nur auf Grundlage der DSGVO erfolgen.

06151-2768 225

mail@rechtsanwalt-kramarz.de

Der Schutz der persönlichen Daten als höchste Priorität

Die DSGVO hat Grundsätze für die Verarbeitung von Daten formuliert, welche ein Datenschutzkonformes Handeln anleiten sollen. Zunächst besteht die Pflicht eines jeden „Verarbeiters“ eine Einwilligung der Person einzuholen sobald personenbezogene Daten erhoben werden. Ein personenbezogenes Datum stellt jede Information da, die eine eindeutige direkte oder indirekte Identifizierung der Person ermöglicht (Ernst in Paal/Pauly, DSGVO und BDSG, Art. 4, Rn.3; 2. Auflage 2018.). Darunter fallen insbesondere Daten wie Name, Telefonnummer, Abbildungen der Person, Kfz-Kennzeichen, Kennnummern oder Standortdaten. Eine Speicherung und Verwendung solcher Daten darf nur auf Grundlage der DSGVO erfolgen.

Grundsätze der DSGVO

Die Verarbeitung personenbezogener Daten ist lediglich zulässig solange sie rechtmäßig nach Art.6 DSGVO ist. Rechtmäßig ist eine Verarbeitung, wenn der Betroffene seine ausdrückliche Einwilligung hierfür gegeben hat. Dennoch kann eine Verarbeitung ohne Einwilligung zulässig sein. Einschlägig hierfür ist die Rechtmäßigkeit aus einem Vertrag oder die Notwendigkeit der Verarbeitung zu Erfüllung des Vertrags. Auch kann eine rechtliche Verpflichtung, welche der Verarbeiter unterliegt oder eine benötigte Verarbeitung ist zum Zwecke des Schutzes ein lebenswichtiges Interesse des Betroffenen die Rechtmäßigkeit begründen. Zuletzt ist Art. 6 Abs.1 lit.f DSGVO zu erwähnen, dieser Regelt vor Allem den  Umgang von Videoüberwachungen, auch wenn nicht explizit erwähnt wird dieser in der Praxis angewendet. Dort ist festgehalten, dass eine Verarbeitung zur Wahrung von berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich ist. Dabei sind die Interessen und Grundrecht und -freiheiten der Betroffenen Person zu beachten, diese dürfen nicht überwiegen. Entsprechend gibt Art.6 Abs.1 lit.f DSGVO vor, dass die Wahrung des berechtigten Interesse des Verarbeiters gegenüber den Rechten des Betroffenen eine Einzelfallentscheidung ist und jeweils eine Abwägung vorgenommen werden muss.

In jedem Fall ist der Betroffene jedoch über die Verarbeitung seiner Daten zu informieren.  Eine schriftliche Einwilligung stellt im Bereich der Einwilligung eine Absicherung für beide Parteien dar, vor Allem der Verantwortliche sollte dies anstreben da eine Nachweispflicht besteht. Diese Einwilligungserklärung muss so einfach und verständlich geschrieben sein, dass sie ohne juristisches Vorwissen verständlich ist. Vor Allem muss der Zweck der Verarbeitung kenntlich gemacht werden, außerdem gelten die Grundsätze, dass eine Transparenz gegeben sein muss als auch das rechtmäßige Handeln nach Treu und Glauben zu verrichten ist. Zusätzlich ist es gefordert, dass gem. Art. 7 Abs. 3 DS-GVO ein Widerruf der Einwilligung jederzeit und so einfach wie die Einwilligung selbst zu erteilen möglich, sein muss. Ebenso besteht ein Recht auf „Vergessen werden“ nach Art. 17 DS-GVO. Dies bedeutet, dass jeder das Recht die sofortige Löschung aller erhobener Daten zu seiner Person einzufordern.

Ein weiterer Punkt sind zudem personenbezogene Daten besonderer Kategorien nach Art. 9 DS-GVO, darunter fallen besonders sensible Daten wie beispielsweise Gesundheitsdaten oder Daten die über die ethnische Zugehörigkeit Aufschluss geben. Diese bedürfen einem besonderen Schutz und dürfen nicht ohne Einwilligung verarbeitet werden. So auch das OLG Hamburg Urteil vom 25.10.2018 – Az.-3 U 66/17.

Wer ohne die Bedingungen des Art.6 DSGVO und ohne Einwilligung eines betroffenen personenbezogenen Datens verarbeitet bspw. ein Foto online stellt verletzt damit die Rechte des Betroffenen. Diese können ihre Rechte mit Aufforderung zur Abgabe einer strafbewährten Unterlassungserklärung (Abmahnung) wahren. Damit kann das Unterlassen des Hochladens und die Löschung des unrechtmäßigen erstellten Bildes erwirkt werden.  Dabei berate ich Sie gerne.

Grenzen der DS-GVO:

Die Grenzen der DSGVO finden sich im familiären und privaten Bereich, d.h. wird bspw. eine Fotografie von Ihnen in eine Diashow für die nächsten privaten Geburtstagsfeier eingefügt werden soll, können sie nicht mit Ihren Rechten aus der DSGVO argumentieren. In einem solchen Fall sind die Regelungen des §§§22, 23 KUG einschlägig, hinsichtlich der Veröffentlichung einschlägig. Dies nur als Exkurs.

Datenschutz im Internet

Die DS-GVO schützt aber nicht nur eindeutige personenbezogene Daten wie oben erwähnt, sondern schützt auch ihre personenbezogenen Daten die im Internet teilweise ohne ihre direkte Kenntnis erhoben werden können. Darunter fallen zum Beispiel Kennnummern oder Online-Zugänge die eine Identifizierung möglich machen ein Beispiel hierfür sind IP-Adressen oder Log-In Daten , welche durch den  Webseitenbetreiber oder durch bestimmte Cookies gespeichert werden. Zum Schutz dieser personenbezogenen Daten durch Cookies besteht eine Pflicht zur Cookie-Nutzung, so auch im BGH, Beschluss vom 5.10.2017 – I ZR 7/16 OLG Frankfurt/M., LG Frankfurt/M., ZD 2018,79. Einige Cookies sammeln Daten um gezielt Werbung zu schalten die Sie interessieren könnte. Jedoch sind durch die neuen Regelungen die kleinen Pop-Up Cookie Banner, welche keine Wahl der Zustimmung durch ein aktives Häkchen setzten zulassen, unzulässig. Lediglich eine klare Zustimmung ist konform.

Arbeitnehmerdatenschutz

Auch als Arbeitnehmer sind ihre Daten geschützt. Die Anforderung an Ihren Arbeitgeber sind ebenfalls durch die Grundsätze der DSGVO bestimmt. Der Arbeitgeber ist dazu verpflichtet die Daten seiner Mitarbeiter zu schützen und alle technischen und organisatorischen Maßnahmen für den Schutz der Daten zu ergreifen. Vor Allem personenbezogene Daten besonderer Kategorien wie Gesundheitsdaten bedürfen eines besonderen Schutzes.

Der Arbeitgeber ist zusätzlich dazu verpflichtet eine Einwilligung von allen Mitarbeitern einzuholen, wenn er personenbezogene Daten verarbeitet. Das ist in den meisten Fällen gegeben. Auch wenn der Arbeitgeber bspw. Fotos von Mitarbeitern auf der Firmenhomepage stellt mit einem Interview oder lediglich zu illustrativen Zwecken wird eine für diesen Zweck bestimmte Einwilligung benötigt.  Wird ein Foto ohne die Einwilligung veröffentlich kann der Betroffene Unterlassung fordern. Durch die Kündigung eines Mitarbeiters wird die Einwilligung auf Grund des Zweckbindungsprinzips hinfällig gem. Art.5 Abs.1 lit. b DSGVO (Fischer, NZA 2018,8 Rn.11.). Sollen die Bilder weiter zugänglich gemacht werden müssen erneute Einwilligungen eingeholt werden.  Das gleiche gilt bei Videoüberwachung am Arbeitsplatz. Nur in Ausnahmefällen ist der Arbeitgeber berechtigt die Mitarbeiter durch Videoüberwachung zu filmen, da dadurch eine unzulässige Einschränkung vorgenommen wird.

Eine Ausnahme liegt gem. § 32 Abs. 1. Satz 2. BDSG n.F. lediglich in dem Fall einer Straftatverfolgung mit dokumentierten tatsächlichen Anhaltspunkten welche einen Verdacht begründen, dass der Betroffene im Beschäftigungsverhältnis eine Straftat begangen hat. Die Erhebung, Verarbeitung oder Nutzung zur Aufdeckung erforderlich ist und das schutzwürdige Interesse des Beschäftigten an dem Ausschluss der Erhebung, Verarbeitung oder Nutzung nicht überwiegt. Insbesondere Art und Ausmaß im Hinblick auf den Anlass nicht unverhältnismäßig sind. Zu beachten ist, dass dem Arbeitgeber mit dieser Vorschrift keine Befugnis an die Hand gegeben wurde, präventiv auf den Arbeitnehmer einzuwirken (Polenz in Killian/Heussen, Computer-Handbuch, Individuelle Arbeitnehmer Datenschutz, Rn. 9-10; 34. EL Mai 2018.).

Pflichten des Verarbeiters

Verfahrensverzeichnis

Nach der DSGVO muss nun ein Verfahrensverzeichnis geführt werden, Art. 30 Abs. 1, 3 DSGVO. Art. 30 Abs. 5 DSGVO sieht allerdings eine Vereinfachung eines Verfahrensverzeichnisses bzw. der Pflichten für ein Unternehmen/eine Einrichtung, die weniger als 250 Mitarbeitern hat, vor. Ein Verfahrensverzeichnis muss für kleinere Unternehmen nur dann angelegt werden, wenn die Verarbeitung der Daten z.B.

  • risikoreich für die Rechte und Freiheiten der Betroffenen ist,
  • nicht nur gelegentlich erfolgt (Verarbeitungen von Daten im Rahmen der Lohnbuchhaltung/Führung von Personalakten/Kundendatenverarbeitung erfolgen nicht gelegentlich)

In der DSGVO findet man auch keine Definition von „gelegentlich“, eine Datenverarbeitung kann aber nach Art. 28 Abs. 4 lit. b des nicht mehr als gelegentlich eingestuft werden, wenn sie in der Kerntätigkeit des Unternehmens liegt. Zudem ist eine vorhersehbar regelmäßig wiederkehrende Datenverarbeitung (Verarbeitung im Rahmen des Kundenmanagements, Buchhaltung und Personalmanagement) nicht nur gelegentlich. Gelegentlich ist eine Datenverarbeitung, wenn sie nur eingesetzte wird, zur Hilfe, um ein anderes Ziel zu erreichen (BeckOK DatenschutzR/Spoerr, 22. Ed. 1.11.2017, DSGVO Art. 30 Rn. 24).

Soweit die Dokumentation im Verfahrensverzeichnis erforderlich ist muss es die folgenden Pflichtangaben enthalten:

  • Name und Kontaktdaten des Verantwortlichen, ggf. des mit ihm gemeinsam Verantwortlichen, der Vertreter des Verantwortlichen, ggf. der Datenschutzbeauftragte,
  • Zwecke/Ziele der Datenverarbeitung,
  • Beschreibung der Kategorien Betroffener und Beschreibung der personenbezogenen Daten,
  • Empfängerkategorien,
  • Datenübermittlungen an ein Drittland oder eine internationale Organisation,
  • Sofern es möglich ist, Angaben zu Fristen für die Löschung der Daten,
  • Sofern möglich, eine allgemeine Beschreibung von technischen und organisatorischen Maßnahmen.

Folgeabschätzung

Stellt eine Verarbeitung von Daten ein voraussichtlich erhöhtes Risiko für die Rechte und Freiheiten (Def. s.o.) des Betroffenen dar, müssen Sie vorher eine Folgeabschätzung nach Art. 35 Abs. 1 DSGVO vornehmen. Nach Art. 35 Abs. 2 DSGVO muss der Datenschutzbeauftragte diesbezüglich um Rat gefragt werden, sofern Sie einen bestellt haben. Mit der Folgenabschätzung soll überprüft werden, ob das geprüfte Verfahren datenschutzrechtlich zulässig ist. Ergibt die Abschätzung, dass ein hohes Risiko, das der Verantwortliche nicht eindämmen will oder kann, besteht, so muss er sich nach Art. 36 Abs. 1 DSGVO an die Aufsichtsbehörde wenden. Diese kontrolliert dann, ob das Verfahren datenschutzrechtlich zulässig ist oder nicht und gibt innerhalb von acht Wochen eine Empfehlung ab. Die Frist kann auch um 6 Wochen ausgesetzt oder verlängert werden.

Eine Folgenabschätzung ist nach Art. 35 Abs. 3 DSGVO insbesondere in folgenden Fällen vorzunehmen:

  • systematische und umfassende Persönlichkeitsbewertung auf der Basis automatisierter Datenverarbeitung einschließlich Profiling, welche eine Entscheidungsgrundlage mit Rechtswirkungen für den Einzelnen bildet oder sich ähnlich auf diesen auswirkt,
  • Verarbeitung sensitiver Daten gem. 9 Abs. 1 DSGVO oder Art. 10 Abs. 1 DSGVO,
  • systematisch umfangreiche Überwachung öffentlich zugänglicher Bereiche.

Die Folgenabschätzung hat nach Art. 35 Abs. 7 DSGVO mindestens Folgendes zu enthalten:

  • systematische Beschreibung der geplanten Verarbeitungsvorgänge und der Zwecke der Verarbeitung,
  • Bewertung der Notwendigkeit und Verhältnismäßigkeit der Verarbeitungsvorgänge,
  • Bewertung der Risiken für Rechte und Freiheiten der Betroffenen,
  • die zur Bewältigung der Risiken geplanten Abhilfemaßnahmen, durch die der Datenschutz sichergestellt wird.

Stellt sich heraus, dass ein Risiko besteht und wendet sich der Verantwortliche an die Aufsichtsbehörde muss er folgendes mitteilen:

  • Angaben zu den jeweiligen Zuständigkeiten bei dem Verantwortlichen/ Auftragsdatenverarbeiter,
  • Zweck/Mittel der beabsichtigten Verwendung,
  • Maßnahmen/ Garantien zum Schutz der Rechte/Freiheiten der Betroffenen,
  • Kontaktdaten des Datenschutzbeauftragten,
  • die Datenschutz-Folgenabschätzung,
  • alle sonstigen von der Aufsichtsbehörde angeforderten Informationen.

technische und organisatorische Maßnahmen

Bezüglich der technischen und organisatorischen Maßnahmen sieht die DSGVO auch einige Änderungen vor, nach Art. 32 DSGVO muss der Verantwortliche nun u. a. folgende Maßnahmen, einrichten, die ein angemessenen Schutzniveau (und kein hohes) bieten müssen:

  • Pseudonymisierung der personenbezogenen Daten (neu nach der DSGVO) und Verschlüsselung der personenbezogenen Daten
  • ein Verfahren welches regelmäßig eine Überprüfung/Bewertung/Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen durchführt, um die Sicherheit der Verarbeitung gewährleisten zu können (neu nach der DSGVO)
  • (ähnlich dem BDSG) die Fähigkeit, die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste sicherzustellen,
  • die Fähigkeit, die Verfügbarkeit der personenbezogenen Daten und den Zugang zu ihnen bei einem physischen oder technischen Zwischenfall rasch wiederherzustellen (Datensicherung),

Datenschutzerklärung

Natürlich sieht die DSGVO auch Änderungen bzgl. Datenschutzerklärungen vor. In Art. 13 DSGVO sind die Informationen aufgelistet, die nun eine Datenschutzerklärung enthalten muss. Die folgenden Inhalte müssen nun auch in einer Datenschutzerklärung enthalten sein:

  • Name und Kontaktdaten des Verantwortlichen und ggf. des Vertreters
  • die Kontaktdaten des Datenschutzbeauftragten, sofern einer bestellt wurde
  • Rechtsgrundlage der Verarbeitung
  • Dauer der Datenspeicherung oder die Kriterien für die Festlegung der Dauer
  • Der Betroffene hat ein Recht auf Auskunft, auf Berichtigung oder Löschung oder auf Einschränkung der Verarbeitung oder auf Widerspruch und ein Recht auf Datenübertragbarkeit
  • Der Betroffene hat ein Recht zur Beschwerde bei einer Aufsichtsbehörde
  • Ist die Bereitstellung der Daten gesetzlich oder vertraglich vorgeschrieben, oder für einen Vertragsabschluss erforderlich oder ist der Betroffene verpflichtet, die Daten bereitzustellen und welche Folgen hat es, wenn er dem nicht nachkommt
  • wenn die Verarbeitung auf einer Einwilligung beruht, das Bestehen eines Widerrufsrechts

Rechte der Betroffenen

Durch die DSGVO stehen dem Betroffenen nun mehr Rechte zu (über diese muss in der Datenschutzerklärung wie oben erklärt informiert werden). Was diese Erweiterung der Rechte nun genau bedeutet, wird im Folgenden erläutert:

06151-2768 225

mail@rechtsanwalt-kramarz.de

Recht auf Auskunft:

Dies ist bei der DSGVO weitergefasst als bei dem BDSG. Nach Art. 15 Abs. 1 DSGVO können die Betroffenen eine Auskunft verlangen, ob durch den Datenverarbeiter von dem Betroffenen personenbezogene Daten verarbeitet werden. Der Betroffene kann demnach Informationen über die folgenden Punkte verlangen:

  • die Verarbeitungszwecke;
  • die Kategorien personenbezogener Daten, die verarbeitet werden;
  • die Empfänger oder Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden, insbesondere bei Empfängern in Drittländern oder bei internationalen Organisationen;
  • die Dauer der Speicherung oder die Kriterien für die Festlegung der Dauer;
  • das Bestehen eines Rechts auf Berichtigung oder Löschung, auf Einschränkung der Verarbeitung oder eines Widerspruchsrechts gegen diese Verarbeitung;
  • das Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde;
  • wenn die personenbezogenen Daten nicht bei der betroffenen Person erhoben werden, alle verfügbaren Informationen über die Herkunft der Daten;

Weiterhin hat der Betroffene zudem den Anspruch aus Art. 15 Abs. 3 DS-GVO zu verlangen, dass der Verantwortliche eine Kopie der verarbeiteten Daten zur Verfügung stellen muss. So hat auch das LAG Baden-Württemberg, Urteil vom 20.12.2018, Az.-17 Sa 11/18 entschieden. Der Art.15 Abs.3 DS-GVO ist jedoch umstritten und es ist noch nicht eindeutig in wie weit dieser Auskunftsanspruch auszulegen ist. Entgegen dem LAG Baden-Württemberg entschied das LG Köln, das der Art. 15 Abs.3 DS-GVO nicht extensiv ausgelegt werden sollte. So müssen nicht alle interne Abläufe und Vermerke offengelegt werden LG Köln Urteil v. 18.03.2019, Az.- 26 O 25/18. Das ergibt sich aus dem Wortlaut des Artikels. Es wird nicht explizit „alle personenbezogenen Daten“, sondern lediglich „Daten, die Gegenstand der Verarbeitung sind“ gefordert.

Recht auf Erhalt einer Kopie:

Nach Art. 15 Abs. 3 DSGVO haben die Betroffenen nun das Recht kostenlos eine Kopie der personenbezogenen Daten, die Gegenstand der Verarbeitung sind, zu erhalten. Für alle weiteren Kopien, die die betroffene Person beantragt, kann der Datenverarbeiter aber ein angemessenes Entgelt auf der Grundlage der Verwaltungskosten verlangen. Nach Art. 15 Abs. 4 DSGVO darf dieses Recht aber nicht die Rechte und Freiheiten (Def. s.o.) anderer Personen beeinträchtigen.

Recht auf Berichtigung der Daten:

Dieses Recht ist in Art. 16 DSGVO festgelegt und mit der Vorschrift aus dem BDSG vergleichbar. Zudem hat der Betroffene nach Art. 18 Abs. 1 lit. a DSGVO das Recht, die Sperrung der Daten zu verlangen, sofern die Daten nicht richtig sind.

Recht auf Löschung:

Dieses Recht ist nach dem DSGVO etwas ausgeprägter als nach dem BDSG. Nun hat man das sog. Recht auf „Vergessenwerden“, welches in Art. 17 Abs. 1 DSGVO festgelegt ist. Der Betroffene kann die Löschung der Daten in folgenden Situationen verlangen:

  • Die personenbezogenen Daten sind für die Zwecke, für die sie erhoben oder auf sonstige Weise verarbeitet wurden, nicht mehr notwendig.
  • Die betroffene Person widerruft ihre Einwilligung und es fehlt an einer anderweitigen Rechtsgrundlage für die Verarbeitung.
  • Die betroffene Person legt Widerspruch gegen die Verarbeitung ein und es liegen keine vorrangigen berechtigten Gründe (nach 21 Abs. 1 DSGVO) für die Verarbeitung vor
  • Die personenbezogenen Daten wurden unrechtmäßig verarbeitet
  • Löschung aufgrund von Unionsrecht oder eines Rechts der Mitgliedsstaaten
  • Datenverarbeitung aufgrund Einwilligung der Verarbeitung von Daten von Kindern
  • Recht auf Einschränkung der Verarbeitung:
  • Nach 18 Abs. 1 DSGVO können die Betroffenen dieses Recht in Anspruch nehmen, wenn
  • die Richtigkeit der Daten für die zur Prüfung erforderliche Dauer bestritten wird,
  • die Daten unrechtmäßig verarbeitet werden, anstatt Löschung,
  • Rechtsansprüche wahrgenommen werden,
  • die Begründetheit eines Widerspruchs nach 21 Abs. 1 DSGVO geprüft wird
  • Recht auf Benachrichtigung:

Dieses Recht ist nach der DSGVO etwas ausgeprägter als bei dem BDSG. Nach Art. 19 DSGVO muss der Verantwortliche den Empfänger der Daten über die Berichtigung/ Löschung/ Sperrung informieren, soweit dies nicht unmöglich oder mit einem unverhältnismäßigen Aufwand verbunden ist. Der Betroffene kann Sie zudem dazu auffordern ihm Auskunft über die Empfänger der Daten zu geben.

Recht auf Datenübertragbarkeit:

Dieses Recht ist neu nach der DSGVO und in Art. 20 verankert. Vom Verantwortlichen kann nun verlangt werden, dass er die personenbezogenen Daten, die ihm zur Verfügung gestellt wurden, in einem strukturierten, gängigen und maschinenlesbaren Format dem Betroffenen zukommen lässt. Zudem hat der Betroffene das Recht, die Daten einem anderen Verantwortlichen zu übermitteln, wenn

  • die Datenverarbeitung durch Einwilligung oder aufgrund eines Vertrages erfolgte
  • und die Verarbeitung mithilfe automatisierter Verfahren erfolgt.

Nach Abs. 2 kann vom Verantwortlichen sogar verlangt werden, dass er die Daten direkt an einen anderen Verantwortlichen überträgt, sofern dies technisch umsetzbar ist.

06151-2768 225

mail@rechtsanwalt-kramarz.de

DSGVO und Personenfotografie

Mit Einführung der Datenschutz-Grundverordnung im Mai 2018 war strittig, ob die Bestimmungen aus der Verordnung Vorrang vor den Regelungen des Kunsturhebergesetzes (KUG) haben oder ob die Bestimmungen in §§ 22, 23 KUG wirksame Bereichsausnahmen vom Datenschutz für den Bereich der Personenfotografie sind.

Dazu äußerte sich das OLG Köln im Beschluss vom 18.6.2018, AZ. 15 W 27/18. Nach Ansicht des Gerichts stellen die Bestimmungen des §§ 22,23 KUG entsprechende Ausnahmen vom Datenschutzrecht dar.

OLG Köln,Beschluss vom 18.6.2018, AZ. 15 W 27/18, Rn. 8f

Schadensersatz auf Grund eines datenschutzrechtlichen Verstoßes

Die DSGVO sieht entsprechend Art. 82 Abs.1 DS-GVO eine eigene deliktische Anspruchsgrundlage für Schadensersatzansprüche bei rechtswidrigen Datenverarbeitungen vor.

Jede Person, der wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist, hat Anspruch auf Schadenersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter.“

Diese konkurrieren mit den Vorschriften der jeweiligen Mitgliedsstaaten. Im deutschen Recht kommen vor Allem die deliktischen Schadensersatzansprüche nach §823 Abs.1 BGB in Verbindung mit dem allgemeinen Persönlichkeitsrecht und auch nach §823 Abs.2 BGB in Frage.

Weitgehend jeder Verstoß gegen die Handlungsvorgeben der DSGVO kommt als Haftungsgrund in Betracht so auch zum Beispiel ein Verstoß gegen die oben bereits genannten Lösch- und Informationspflichten. Dabei sind auch Verstöße gegen Rechtsvorschriften der Mitgliedsstaaten die zur Präzisierung der DSGVO erlassen wurden mit einer Haftung belegt.

Verstöße gegen die Vorgaben des Datenschutzrechts haben grundsätzlich zunächst immaterielle Schäden zur Folge Rechtswidrige Datenverarbeitung verletzten das Recht auf Schutz der personenbezogenen Daten (Art.8 GRCh), jedoch können auch andere Rechte verletzt werden. Ein bloßer Verstoß gegen die DS-GVO ohne Eintritt einer Schadensfolge kein begründeter Schadensersatzanspruch. Das hat das AG Diez im Urteil v. 07.11.2018, Az-8C 130/18 entschieden.  In diesem Fall bat die Betreiberin eines Online-Shops die Kunden per E-Mail um Einwilligung zum Bezug eines Newsletters, obwohl zuvor nie in den Empfang von E-Mails eingewilligt wurde. Der Kläger forderte Auskunft, Unterlassung und Schmerzensgeld „nicht unter 500€“. Das Gericht entschied, dass ein bloßer Verstoß ohne Schadensfolge keinen begründeten Schadensersatz nach Art.82 DS-GVO nach sich zieht. Es wäre zwar festzuhalten, dass kein schwerer Eingriff in die Persönlichkeitsrechte zur Begründung eines Schadensersatzanspruchs vorliegen müsste, jedoch es keinen Schadenersatz für Bagatellverstöße geben dürfte. Es muss ein spürbarer Nachteil durch eine „objektiv nachvollziehbare, mit gewissem Gewicht erfolgte Beeinträchtigung von personenbezogenen Belangen“ entstanden sein.

Weiterhin stellte das Gericht fest, dass wenn überhaupt ein Schadensersatzanspruch bestanden hätte dieser mit 50,00€ abgegolten sein würde.

Beschränkt wird durch Art. 82 Abs. 2 DS-GVO dabei lediglich die Haftung von Auftragsdatenverarbeitern.

„Jeder an einer Verarbeitung beteiligte Verantwortliche haftet für den Schaden, der durch eine nicht dieser Verordnung entsprechende Verarbeitung verursacht wurden. Ein Auftragsverarbeiter haftet für den durch eine Verarbeitung verursachten Schaden nur dann, wenn er seinen speziell den Auftragsverarbeitern auferlegten Pflichten aus dieser Verordnung nicht nachgekommen ist oder unter Nichtbeachtung der rechtmäßig erteilten Anweisungen des für die Datenverarbeitung Verantwortlichen oder gegen diese Anweisungen gehandelt hat.“

Dies soll verhindern, dass der Auftragsdatenverarbeiter für Datenschutzverstöße des Verantwortlichen haftet, auf welche er keinen Einfluss hat.

Wer ist befugt gegen die Rechtsverstöße vorzugehen?

Entsprechend der DS-GVO ist jeder befugt, dessen Rechte durch einen Verantwortlichen verletzt wurden und dieser hierfür kein Ausnahmetatbestand besteht. Deshalb wurde in der Literatur (vgl. Zech, WRP 2013, 1434, 1436) und auch in der Rechtsprechung (OLG Düsseldorf, GRUR 2017, 416 ff. – „Gefällt mir”-Button) die Frage aufgeworfen wer klagebefugt ist. , ob das Sanktionssystem der DS-RL ein abschließendes Sanktionssystem mit der Folge enthält, dass Verstöße gegen datenschutzrechtliche Bestimmungen nur durch die nach der DS-RL vorgesehenen Berechtigten mit den dort vorgesehenen Instrumentarien verfolgen können. Dann wären Wettbewerber i.S. von § 8 Abs. 3 Nr. 1 UWG oder qualifizierte Einrichtungen i.S. von § 8 Abs. 3 Nr. 3 UWG, die in der DS-RL nicht angeführt sind, ebenfalls nicht nach § 8 Abs. 1 und Abs. 3 Nr. 1 und 3 UWG klagebefugt. Nach Auffassung des Senats stehen allerdings die Vorschriften der DS-RL einer Klagebefugnis von Wettbewerbern gemäß § 8 Abs. 1 und Abs. 3 Nr. 1 UWG nicht entgegen.

Die DS-RL enthält erkennbar kein abschließendes Sanktionssystem, das einer zivilrechtlich begründeten Verfolgung von Verletzungen der Datenschutzvorschriften durch Mitbewerber nach § 8 Abs. 1 und Abs. 3 Nr. 1 UWG entgegenstünde., so das  OLG Hamburg Urteil vom 25.10.2018 – 3 U 66/17.

Es ist derzeit strittig ob Wettbewerber legitimiert Rechtsbehelfe gegenüber einem Mitbewerber geltend machen kann. Das OLG Hamburg und das LG Würzburg folgen der hM. und befürworten die Legitimierung und entschieden, dass ein Wettbewerber klagebefugt ist. Abweichend davon hat LG Bochum mit dem Urteil v. 07.08.2018, Az.-12 O 85/18, entschieden, dass Mitbewerber Konkurrenten nicht abmahnen können.

Fazit:

Verstößt der Verarbeiter gegen die an Ihn gerichteten Pflichten oder kommen ihnen nicht im ausreichenden Maßen nach können Sanktionen die Folge sein. Für betroffene Personen kann Unterlassung oder die Einhaltung der Pflichten verlangt werden. Ein Schadensersatzanspruch ist schon bei kleinen Eingriffen die objektiv in das Persönlichkeitsrecht gegeben und kann geltend gemacht werden.  Die Unternehmen sind verpflichtet Datenschutzkonform zu handeln um nicht mit hohen Sanktionen rechnen zu müssen. Die Daten der Kunden sind schützenswert und vertraulich zu behandeln. Ist ihr Recht in einer Weise verletzt worden gibt es verschiedene Möglichkeiten gegen einen solchen Rechtsverstoß vorzugehen. Wenden Sie sich gerne an mich und vereinbaren Sie einen Beratungstermin.

Sie erreichen mich am besten direkt per E-Mail: mail@rechtsanwalt-kramarz.de. Telefonisch erreichen Sie mich jederzeit unter:  06151-2768 225.

06151-2768 225

mail@rechtsanwalt-kramarz.de